嗅探Microsoft的病毒扫描引擎

FUZE

B100D1E55 发表于 2017-2-11 01:21
其实下一篇已经想好写什么了，不过因为最近活开始多起来了，估计先匿一段时间

能不能稍稍剧透一点

灭灭之痕

B100D1E55 发表于 2017-2-10 23:50
你提出的这个观点很好，这也是很多安软测试所欠缺的环节：仅考虑样本检出数却可能没有很合理地控制样本的 ...

其实就说中毒，我在大学的时候同学们中得最多的就是U盘病毒，网络上的木马也有，但是属于很少的，而且很多都能被安软杀出来。类似勒索这种，我基本没有见过多少。因为轻度使用者接触到“最新的”病毒的概率很低，往往在接触之前安软已经完成了更新可以杀出来了。如果不装安软自然没有办法，但是装了安软大部分应该能防住，毕竟现在网络环境好了很多（回想05-06年用诺顿企业版，被病毒玩成狗的印象历历在目）。
当然，如果被盯上了就另说了……
我觉得安软公司应该也会刻意的培养病毒甚至改造病毒（应对一些常见的改写方式或者变种），然后在升级特征库过程中会将“可能的变体”信息也收录进去，但是不一定对于每一个病毒都能进行这么彻底的分析，就比如EICAR的特征，既然仅仅是一种测试代码（本身无害），安软公司或许就不考虑具体的针对性改造。但是如果你拿一个别的常见病毒来进行改造，未必能过，甚至未必会进入启发扫描阶段（猜测）。
记得之前NOD32的动态启发解释有说“诱导恶意程序”来达到目的，不知道这个技术是否有什么说法？

GreenCodes

linzh 发表于 2017-2-10 23:40
咳咳咳啊，最近BD不行啊，抓了5个cerber没一个ATC开中拦得住的，好几个ATC开高都GG的
感觉 ...

你被BD惯坏了，等你看看其他杀毒就知道什么样了

linzh

GreenCodes 发表于 2017-2-11 10:43
你被BD惯坏了，等你看看其他杀毒就知道什么样了

就目前情况来说，我签名里的任何一个杀软外加360都比BD防cerber这种勒索都要好，BD入库的太慢了，随随便便就是一天
其他的勒索和病毒另说

月影天心

wopaobuguocpi 发表于 2017-2-10 22:16
WD真的不够用么?

对于不同的使用者来说，卡巴和WD孰强孰弱？
所以，WD是否够用，很大程度取决于个人，我还是那个观点：日常生活、工作中，任何一款正规杀软都可以满足需求，不妨自己想想，微软每个月都在补漏洞，你真正遭遇0day利用有几次？我敢说绝大多数人遇不到一次；在日常工作中又遇到过几次病毒？可能会遇到多次，比如同事间U盘、单位局域网传播等等，然而，你能“有幸”遭遇到一种尚未被安全厂商捕捉到的新威胁的几率有多大？微软的年度报告，统计了装有微软系产品的用户，二成遇到病毒，一成被感染，这已经是非常好的数据，当前的网络环境整体还是相对安全的；不妨再想想，在你所遭遇的病毒中，有几次是靠行为拦截的（误报除外）？我敢说绝大多数日常遇到的威胁都是特征杀，而且其中很多威胁的传播时效往往已经有段年月了，即使对于变种不断、更新效率极快的Ransomware而言，我敢说，日常使用电脑，你能通过“正常途径”遇到，几乎也肯定是入了库的样本

B100D1E55

FUZE 发表于 2017-2-11 01:33
能不能稍稍剧透一点

不可以，而且我经常改主意，剧透就不好改了

111117

几年前用WD时中过毒就再也不用了

B100D1E55

灭灭之痕 发表于 2017-2-11 10:01
其实就说中毒，我在大学的时候同学们中得最多的就是U盘病毒，网络上的木马也有，但是属于很少的，而且很 ...

不好说，淘宝卖家传“报价单”，玩家下载外{过}{滤}挂修改器人肉工具刷票机注册机等中毒概率实在太大了，这都是实实在在痛点：用户需要用，你不能阻止用户，只能检测。更别提早年挂马多的要死，XSS现在都屡禁不绝，小站也要防注入攻击……如果你自己实际搞过一两个攻击，你就会发现现实威胁远没止步于U盘病毒那种程度。用户对安全的错觉往往来自无知和盲目自我感觉良好
安软公司不需要刻意培养病毒或者改造病毒，如果检测算法设计得当（足够广谱），并且脱壳能力了得（足以暴露核心行为），病毒很难通过简单的混淆绕过。当然这几点都需要投入大量的人力物力来达成。Cerber每次过扫描那么轻松，但运行起来总能触发Snort一个月前特征库的单条报警，就说明了现在安软就这两点都离理想很远，以至于病毒制造者都不需要在行为上进行根本修改来逃避检测。
至于你说的“诱导恶意程序”，我估计就是虚拟环境下促使恶意程序自解密暴露行为

B100D1E55

111117 发表于 2017-2-11 12:26
几年前用WD时中过毒就再也不用了

哈，除掉我自己的回复才不到50楼就已经有人汇报中招黑历史了……有的人就是没法正确理解这种概率问题

B100D1E55

jefffire 发表于 2017-2-10 15:42
一成的感染率已经很高了吧。
中国体育彩票 最低的五元大奖 中奖率有10%么？

实际中过毒就不敢夸海口了，用户需要历练